2中國WLAN 進入真正的新一輪的5 年高速成長期
WLAN作為移動通信的必要補充,契合十二五戰(zhàn)略性新興信息產業(yè)在寬帶����、泛在、融合�����、安全上的內在要求����。運營商、駐地網和家庭網絡三駕馬車起頭并進�����,推動中國WLAN進入真正的高速成長期�����。未來 5 年WLAN將在中國家庭�����、辦公樓��、學校和公共區(qū)域快速普及����。
3伴隨噴薄的市場需求,WLAN安全將打開移動互聯增值服務的藍海未來
全球移動通信流量每年暴增,WLAN移動數據分流作用不斷提升�,WiFi在移動終端的滲透率不斷提升,WLAN的市場需求正在井噴�,同時WLAN將打開移動互聯增值服務的藍海未來。
WLAN 不僅是互聯網和移動互聯網重要的接入融合點����,更是重要的業(yè)務融合點。移動增值服務最大的市場桎梏在于高昂的流量費和有限且受限的支付通道���。WLAN 不僅從需求和供給上同時破局�,還創(chuàng)造出LBS���、廣告推送��、VoWiFi���、無線流媒體和無線監(jiān)控等創(chuàng)新融合方案,WLAN安全的保障將打開移動增值服務的藍海未來��。
WLAN面臨的安全風險及危害
WLAN系統(tǒng)面臨的風險包括資源耗盡風險�����、無AP關聯認證風險�、無加密的空中信息傳輸泄密風險�����、來自客戶端的攻擊等各類可能引發(fā)WLAN系統(tǒng)不可用 風險���、系統(tǒng)服務質量下降��、無線頻譜干擾風險����、空中中間人攻擊風險��、非法廣播信息風險��、客戶信息泄密風險等����。從用戶的安全運營角度,我們對WLAN面臨的安 全風險進行了分類如下:
業(yè)務濫用��,流量盜用風險
在大量的WLAN系統(tǒng)中��,都存在繞過驗證portal認證機制免費使用WLAN流量上網的問題��。
同時部分用戶的上網認證密碼非常簡單�����,也可能導致盜用上網的風險存在�。在實際的網絡當中,還存在重置密碼過于簡單的問題導致盜用上網的風險存在�。
通過欺騙及非授權攻擊,前一用戶離開后��,后一用戶采用修改MAC及IP地址的方法繼續(xù)訪問網絡����。并偽造DHCP續(xù)租盜用上網。
基于session hijacking的盜取服務攻擊。
網絡服務不可用風險
WLAN系統(tǒng)是指應用無線通信技術為用戶提供高速而穩(wěn)定的無線連接�,保障網絡的可用性至關重要。在實際的系統(tǒng)當中可能存在以下問題都會致使網絡不可用�����,這里主要包括惡意的或非惡意的拒絕服務攻擊��。
惡意的拒絕服務攻擊包括:
BeaconFlood —無線SSID干擾攻擊
Authentication DoS — DHCP地址耗盡攻擊
Deauthentication/Disassociation Amok —指定用戶斷線攻擊�����。
無惡意的拒絕服務攻擊主要指WLAN客戶端被攻擊者利用或者感染病毒后����,對WLAN核心網發(fā)動的拒絕服務攻擊等。
在AC運營過程中��,可能會遭受網絡環(huán)路��,而產生大量的廣播報文對AC形成威脅����,這將直接導致AC所管理的AP全部掉線。
對于AC的攻擊���,由于我們的網絡是無線的����,任何人都可以很輕松的接入網絡���,一臺AC通常管理1000~2000個AP����,一旦AC被攻破�����,那么將直接導致所有AP全部掉線�。因此對AC的攻擊威脅較大。
用戶信息被盜用風險
由于在無線環(huán)境下中間人攻擊��、釣魚攻擊����、sniffer會變得更為容易,對于AP及用戶的攻擊除會造成用戶無法接入網絡以外����,用戶的數據也得不到安 全保證�����,特別是用戶登錄無線網絡的認證信息�。用戶在使用無線網絡的時候,存在以下安全威脅都可能導致用戶的重要信息被獲取��,包括
無線釣魚��,獲取敏感信息
無線網絡監(jiān)聽��、無線網絡嗅探攻擊
無線破解攻擊:WEP的破解��、WPA的破解
專有設備被利用風險
AP�����、AC設備由于配置不嚴格��,存在弱口令或者其他安全隱患都有可能導致設備別非法控制�,從而出現斷網的風險。
同時portal系統(tǒng)也可能存在sql注入漏洞�����、web上傳漏洞等常見的web漏洞致使系統(tǒng)被攻擊的風險�。
WLAN網絡目前存在大量網絡�、應用漏洞����,且面向互聯網開放,易被互聯網黑客所利用�。WLAN網絡的重要性與當前安全水平極不匹配。
依據WLAN網絡結構�,出現在AP側����、AC側、網絡設備側����、AAA(包括Portal和Radius設備)側易出現的風險用表格方式總結如下:
各安全風險在網絡結構中的分布如下圖:
WLAN安全防護體系框架
基于相關的安全理論模型,借鑒目前IT行業(yè)的系統(tǒng)分層結構��,我們提出了WLAN安全防護體系框架�,用以指導WLAN安全建設工作。
對WLAN進行安全域劃分�����,根據安全域劃分原則和網絡優(yōu)化和邊界整合策略�,經過對業(yè)務數據流分析����,WLAN認證系統(tǒng)的安全域���,可以劃分以下安全域���,按重要性從高至低分別為:
認證鑒權區(qū)域:認證鑒權區(qū)域主要包含radius、Portal服務器等�。可以進一步細分為radius應用服務器區(qū)���、Portal服務器區(qū)�����、數據庫服務器區(qū)��。
接入控制區(qū)域:接入控制區(qū)域主要AC����、防火墻等設備�����。
熱點接入區(qū)域:AP、接入終端等�。
WLAN系統(tǒng)自身滿足如下四個方面要求:帳號口令、日志審計��、數據加密等安全功能要求;口令強度�����、應用中安全相關用戶缺省配置等安全配置要求;避免緩沖區(qū)溢出�����、注入攻擊等缺陷的軟件代碼安全要求;確保業(yè)務流程各環(huán)節(jié)(邏輯)安全的機制要求��。
在安全域劃分的基礎上�����,結合WLAN網絡的特定安全需求����,有選擇的部署WLAN應用防火墻�、WLANIDS、web防護等各類基礎安全技術防護手 段�。為了滿足集中運維的需要�,各類基礎安全技術防護手段應支持集中監(jiān)控���。同時�,各類基礎安全技術防護手段應具備完成信息安全管理功能所必須的接口�����。
WLAN網絡管理應根據“集中監(jiān)控�、集中維護、集中管理”的原則�,對異地多廠商環(huán)境下的WLAN網元和網絡進行集中統(tǒng)一的監(jiān)控管理與操作維護,對設備性能參數和業(yè)務流量進行在線統(tǒng)計和分析����,以保證WLAN承載的無線數據業(yè)務的有效開展.
WLAN安全運營的關鍵點
(1)WLAN專有的安全防護措施建設
WLAN業(yè)務系統(tǒng)既有通用IT基礎設施承載相關應用,又有其特有的專用設備��、專有網絡協議和業(yè)務流程����。一般的安全防護是基于基礎IT設備評估的體 系,缺乏對應用層�、通信業(yè)務的全面評估和加固防護手段,無法應對日新月異的WLAN業(yè)務系統(tǒng)安全威脅。傳統(tǒng)安全管理�����、安全和技術措施無法滿足新的業(yè)務安全 需求�����,存在明顯空白薄弱點�。
WLAN安全應該涵蓋從AP、AC�����、Portal���、Radius���、防火墻����、交換機、操作系統(tǒng)��、數據庫等防護對象。尤其是特有的專用設備��、專有網絡協議和業(yè)務流程都是傳統(tǒng)技術手段無法進行防護��,所以建設WLAN專有的安全防護措施至關重要���。
(2)提升WLAN網絡和業(yè)務穩(wěn)定性��,確保用戶良好體驗
對于WLAN相應的故障�����,傳統(tǒng)的做法只有通過人工到現場采用各種軟件來檢測����,比如chariot��、NetStumbler�、 FTP、PING����、 sniffer等各種工具綜合判斷,才能解決故障����。該方式的主要缺點包括:人員必須現場監(jiān)測���、技術要求專業(yè)、解決效率低�、并且只有在發(fā)生故障時才能發(fā)現。
WLAN網絡運營的優(yōu)劣關鍵是用戶體驗�,但是如何用技術手段了解真實的用戶使用體驗一直是運營的難點。包括:
如何快速精準的定位WLAN業(yè)務系統(tǒng)的故障原因?
如何事實的監(jiān)控WLAN熱點的質量狀態(tài)?
如何提高WLAN用戶體驗感?
如何構建高質量高業(yè)務成功率的WLAN業(yè)務系統(tǒng)?
針對業(yè)務質量的主要建設思路包括:通過模擬WLAN終端接入技術充分模擬用戶上網行為���,把用戶的WLAN上網體驗進行量化并把信息集中分析�����。并且只 有實時進行安全威脅檢測����,確保網絡安全���。同時具備集各種監(jiān)測方法為一體���,自動監(jiān)測����。并且采用實時預警�、人工遠程監(jiān)測等功能�,提前預知故障,對于提高維護效 率�、降低維護成本、提升服務質量有著很大的作用��。
